Свежие посты   По годам   По датам
  • 23 Мая 2012 » Hack the Lab от Stonesoft
    Компания Stonesoft уже не первый год проводит мероприятие под названием "Hack the Lab", в рамках которого участникам предлагается ближе познакомиться с миром хака, взлома и проникновения. В очередном Hack the Lab, проводившемся на прошлой неделе в Хельсинки, в числе других представителей официальной (СМИ) и неофициальной (блоггеры) прессы довелось принять участие и мне. Первый день двухдневного тренинга начался с общего введения в проблематику хакерства, после чего мы приступили непосредственно к выполнению заданий. В тестовой лаборатории был сымитирован сегмент сети некоей компании, занимающейся приготовлением и доставкой бургеров. Мы же, играя роль хакеров, находились как бы в сети Интернет и знали только адрес публичного web-сервера. Нашей задачей было добыть секретный рецепт бургера, проникнув во внутреннюю сеть компании. Быть может, более продвинутым коллегам было не так интересно, но мне очень понравилось сканировать порты, выявлять версии используемого программного обеспечения, применять к ним эксплойты и получать доступ к самым различным ресурсам - от базы данных всех кредитных карточек до рабочих станций администраторов сети. Основное, чему учишься, выполняя взломы под чутким руководством финских коллег, это то что: защита должна быть эшелонированной, так как уязвимость, например, в публичном web-сервере позволяет уже от его имени пробраться глубже внутрь корпоративной сети, где средства защиты в отличие от периметра применяются всё же далеко не всеми. защита обязательно должа включать в себя непрерывный мониторинг событий информационной безопасности, так как любая аномалия в сети - это хороший повод проверить текущее состояние дел и, возможно, успеть предотвратить проникновение. ну, и наконец, идеального программного обеспечения не бывает: ломали мы самые разные системы, пусть даже и умышленно непропатченные для облегчения нашей работы. Не то чтобы это были вновь открываемые истины, но в ходе Hack the Lab знакомишься с ними как то особенно тесно. Кстати, все наши взломы и проникновения в режиме реального времени отображались на большом экране, куда было выведено окно логов StoneGate IPS, настроенной на работу в режиме детектирования. Во второй день нас ждал подробный рассказ о динамических техниках обхода (AET - advanced evasion techniques), с помощью которых злоумышленник может обойти системы предотвращения вторжения и атаковать уязвимый сервер или рабочую станцию внутри сети. Применение AET было нам наглядно продемонстрировано только на примере оборудования от McAfee, но лишь по причине ограниченности времени - по словам специалистов Stonesoft, продукты всех ведущих разработчиков пропускают атаки с применением AET. Кроме того, из-за особенностей самих техник, внедрение "противоядия" от них требует очень серьёзных переработок в ядре самой системы предотвращения вторжения, что, естественно, не может быть выполнено быстро. Именно поэтому, отдельные вендоры предпочитаю просто не обращать внимание на проблему AET и делать вид, что ничего не происходит, используя знаменитую защиту Чубаки: Tема AET, вообще, очень интересна, хотя и не так проста для понимания. В одном из следующих постов постараюсь к ней обязательно вернуться. В заключении хочу ещё раз поблагодарить коллег из Stonesoft за приглашение! Кстати, вот впечатления ещё одного участника - Евгения Царёва. Изображение: http://3.bp.blogspot.com/_WwuuFlhlZSg/TONscXO1XgI/AAAAAAAAAM8/EfLEorEhAe4/s1600/chewbacca_defense.jpg

  • 16 Мая 2012 » Сертифицированные межсетевые экраны (часть 3)
    Продолжаем обзор сертифицированных межсетевых экранов (все части). Сегодня на очереди экзотический ФПСУ-IP, бессчётные Cisco, малоактуальные Proventia, Z-2 и Microsoft ISA Server 2006, а на закуску - ViPNet от Инфотекса. Следующий сертифицированный межсетевой экран в реестре ФСТЭК с актуальным сертификатом на серию – «ФПСУ-IP/Клиент», сертифицированный по классу МЭ5 сам по себе и по МЭ3 в связке с базовым МЭ «ФПСУ-IP». Разработка ООО “АМИКОН” – штука весьма специфическая. Судя по описанию на сайте - это целая экосистема с собственным крипто-шлюзом, крипто-ядром и даже USB-ключом для аутентификации. Заявлено внедрение более 15 000 экземпляров в защищённых информационных системах Банка России, Сбербанка РФ, ОАО ЛУКОЙЛ, АКБ «Альфа Банк» и в ряда других организаций. Партнёрской сети у АМИКОНа замечено не было, продажи, видимо, идут напрямую, так что особо про продукт сказать нечего – ареал его обитания как-то не очень пересекается с моим. Отмечу лишь, что в одном из вариантов исполнения «ФПСУ-IP» используется “собственная 32-разрядная DOS-подобная ОС”, а интерфейс вызывает приятные ностальгические воспоминания о студенческих годах и моих первых шагах в программировании: Тем не менее, продукт развивается, в декабре даже новая версия вышла. Кстати, в реестре ФСТЭК сертификат №1091 на сам «ФПСУ-IP» значится как просроченный, но на сайте разработчика висит уже его обновлённый вариант. Далее по списку опять сертифицированный межсетевой экран от Cisco. Модуль Cisco FWSM для коммутаторов Cisco Catalyst 6500 и маршрутизаторов Cisco 7600 сертифицирован серией по 4 классу для МЭ и на соответствие ТУ. Не являюсь специалистом Cisco, но вроде бы модуль жив и продаётся. А чтобы уже закончить с решениями от Cisco, вместе с этим модулем внёс в таблицу все остальные маршрутизаторы и коммутаторы Cisco, сертифицированные серией как межсетевые экраны: Cisco 1800, Cisco 2800, Cisco 3800, Cisco 7200, Cisco 7600, Cisco 3750, Cisco 1841, Cisco 2811, Cisco 6509, Cisco 3825, Cisco 2900, Cisco 3900, Cisco 3925E и Cisco 881. К слову, видно, что на некоторые модели сертификаты продлевались, а на некоторые (не попавшие в таблицу) – нет. Для конкурентов, размышляющих над целесообразностью сертификации своих моделей – отличная информация к размышлению, ну а мы движемся дальше. Говоря о сертифицированных межсетевых экранах, нельзя не упомянуть Proventia Server и Proventia Desktop, сертификаты на которые, полученные в своё время ЗАО НИП «Информзащита» продолжают действовать. Популярное некогда решение от компании ISS после покупки последней компанией IBM, судя по всему, переживает не самые лучшие времена, так что возьму на себя смелость поставить под сомнение актуальность этих 1000 и 300 сертифицированных экземпляров. На Proventia, кстати, есть и более новые сертификаты, но в них уже не прописан класс МЭ. Следующий сертифицированный межсетевой экран в очередной раз демонстрирует сложности установления актуальности отечественных разработок. Творение Инфосистем Джет - межсетевой экран «Z-2» - имеет действующий сертификат. Некоторые компании до сих пор его предлагают на своих сайтах и даже приглашают на курсы, но продукт, видимо, снят с продаж, хотя никаких анонсов, как это обычно бывает, об этом не было. На мысль о неактуальность наводят наличие лишь очень старых описаний и новостей. Полагаю, смысла включать Z-2 в таблицу нет. Точно также пропустим и сертифицированный межсетевой экран Microsoft ISA Server 2006 SE. Его вроде бы ещё можно купить, но будет ли кто-то это добровольно делать? Завершим же сегодняшнюю часть обзора, не в обиду ранее упомянутым компаниям будет сказано, одним из действительно серьёзных отечественных игроков рынка сертифицированных межсетевых экранов. Компания Инфотекс не первый год вполне себе успешно поставляет продукты семейства ViPNet. Актуальные сертификаты на межсетевые экраны есть для ViPNet CUSTOM 3.1, ViPNet Coordinator HW и ViPNet Office 2.2. ViPNet CUSTOM – это целое семейство решений и без анализа задания по безопасности судить о сертифицированном функционале достаточно сложно, но, по идее, за межсетевое экранирование отвечают вот эти компоненты: ViPNet Coordinator (Windows) – программный сервер защищенной сети ViPNet, устанавливаемый на ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит). ViPNet Coordinator (Linux) – полнофункциональный программный сервер защищенной сети ViPNet, устанавливаемый на ОС Linux с ядрами 2.4.2/31 -2.6.2/32 (дистрибутивы RedHat, Suse и др.) ViPNet Client (Клиент) – программный комплекс для ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит), выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищённой почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. ViPNet Coordinator HW – это аппаратный криптошлюз и межсетевой экран, поставляемый в модификациях HW-VPNM, HW100, HW1000 и HW2000 (последний вариант, правда, сертификата ФСТЭК по каким-то причинам не имеет). По сути своей все ViPNet Coordinator HW – это аппаратные платформы с залитым дистрибутивом Linux и программным обеспечением ViPNet Coordinator Linux. Данные «железные» варианты исполнения ViPNet Coordinator появились сравнительно недавно как ответ на продуктовую линейку АПКШ «Континент» извечного конкурента – «Кода Безопасности» (ГК «Информзащита»), имеющего в своём портфеле исключительно аппаратные криптошлюзы. Наконец, ViPNet Office – это программный межсетевой экран, предназначенный для небольших и средних организаций. Вот только его текущая версия 3.1 сертификата ФСТЭК пока не имеет (только ФСБ) и как сертифицированный межсетевой экран использоваться не может, а версия 2.2 имеет сертификат ФСТЭК, но не сертифицирована в ФСБ. В общем, чехарда с версиями и сертификатами наводит на мысль о сомнительной актуальности этого решения как сертифицированного межсетевого экрана. Говоря в целом, нужно отметить, что с использованием продуктов VipNet можно комплексно защитить произвольное число локальных сетей и рабочих станций, но, судя по личному опыту настройки и известным мне сравнительным анализам, решение от Инфотекс имеет определённые неудобства эксплуатационного характера. Тем не менее, ViPNet прочно «засел» в некоторых рыночных нишах (РЖД, ТФОМС, Сбербанк), косвенным доказательством чему, например, является их прямое упоминание на этой вот Схеме голосового набора: Все сертифицированные межсетевые экраны из этого и предыдущих обзоров уже в таблице. Продолжение следует…

  • 15 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (19/2012)
    Новая неделя и новый обзор от специалистов Fortinet, посвящённый основным событиям информационной безопасности. Обновления, опять обновления и, ну надо же, патчи! Завершившаяся 19 неделя года 7-11 мая ознаменовалась серьёзными обновлениями, выпущенными крупными игроками рынка. Теперь наиболее распространённые операционные системы, web-браузеры и приложения стали чуть более безопасными. Представляем основные новости информационной безопасности за неделю. Три критических обновления во «вторник патчей». В своём регулярном вторничном обновлении по безопасности компания Microsoft представила в общей сложности семь бюллетеней, три из которых получили рейтинг «критический». Всего же было исправлено 23 уязвимости в Microsoft Windows, Office, Silverlight и .NET Framework. В своём блоге Microsoft акцентирует внимание на установке критического обновления MS12-034 для исправления 10 уязвимостей в Office, Windows, .Net Framework и Silverlight. Данные уязвимости подвергали пользователей опасности быть атакованными при открытии заражённого документа или посещении заражённого web-сайта, в которых используются внедрённые файлы шрифтов TrueType. Кроме того, Редмонд рекомендует пользователям повысить приоритет установки патча, исправляющего другую уязвимость в Microsoft Word, также считающуюся критической. Данная уязвимость позволяет хакеру удаленно выполнить вредоносный код, когда пользователь открывает специально подготовленный файл RTF, доставленный ему, например, по электронной почте. Побудить пользователя к открытию файла злоумышленник может при помощи какого-либо метода социальной инженерии. Сайт Amnesty International заражал трояном Ghost RAT. На прошлой неделе сайт организации по борьбе за права человека Amnesty International стал жертвой хакеров, которые внедрили вредоносное программное обеспечение, заражавшее ничего не подозревающих посетителей сайта троянской программой Gh0st RAT. Для заражения хакеры использовали известную уязвимость Java. По словам исследователей из Websense, обнаруживших данную атаку, в код сайта Amnesty International был внедрён Java-скрипт, загружавший Gh0st RAT на «непропатченные» Windows-машины посетителей web-сайта. В случае успешной загрузки и установки троян позволял похищать финансовую, личную и другую конфиденциальную информацию с компьютера жертвы, включая данные учётных записей и пароли к ним. В настоящее время вредоносное программное обеспечение с сайта Amnesty International удалено полностью. Троянец Gh0st RAT, впервые обнаруженный в прошлом году, относится к так называемым Advanced persistent threat (APT), угрозам, включающим в себя многочисленные сложные методы атак. Считается, что Gh0st RAT был создан по инициативе китайских хакеров, известных в частности получившей название "Nitro" атакой на энергетические компании в 2011 году. Adobe пересматривает подход к платам за обновления. Хорошая новость заключается в том, что компания Adobe выпустила на прошлой неделе крупное обновление безопасности, закрывающее, среди прочего, уязвимость в Photoshop 12 (Creative Suite 5) как для Windows, так и для Mac платформ. Проблема же заключалась в том, что пользователям пришлось бы заплатить за это обновление. Описываемая уязвимость возникает при обработке TIFF-изображений и в случае успешной атаки предоставляет злоумышленникам возможность удалённого выполнения вредоносного кода для получения доступа к сетевым ресурсам с правами самого пользователя, открывшего заражённый TIFF-файл. Однако, вместо разработки отдельного патча, компания Adobe сообщила, что исправление будет включено в обновление программного обеспечения до последней платной версии Photoshop CS6. Данное заявление вызвало резко негативную реакцию со стороны пользователей, недовольных тем, что их вынуждают платить за ошибки в программном обеспечении, совершённые самой Adobe, поэтому идя навстречу пожеланиям Adobe сообщила всё же в итоге, что сейчас готовит к выпуску бесплатный патч. Apple выпускает обновления системы безопасности. На прошлой неделе компания Apple выпустила обновление, исправляющее четыре уязвимости в web-браузере Safari и блокирующее запуск старых уязвимых версий проигрывателя Adobe Flash Player. Обновление относится к Safari 5.1.7 для Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X v10.7.4 Lion Server, OS X v10.7.4 Lion, Windows 7, Vista, XP SP2 или более поздней версии. Помимо прочего, последнее обновление от Apple предотвращает доступ к Safari проигрывателя Adobe Flash Player 10.1.102.64 и более ранних версий, так как Adobe уже выпустила Flash Player 11 для Mac. В дополнение к предотвращению запуска старых версий Flash Player в браузере Safari, обновление исправляет четыре уязвимости в WebKit, движке рендеринга с открытым исходным кодом, на базе которого построены и Safari и Google Chrome. Данные уязвимости делали возможными атаки межсайтового скриптинга и вызывали ошибки при работе с оперативной памятью. Одна из уязвимостей, исправленных обновлением, как сообщает Computerworld, была выявлена участником конкурса Pwnium, организованном Google в рамках конференции CanSecWest в марте этого года. Победитель получил денежный приз в $60,000 за успешное использование уязвимости в браузере Chrome. U.S. Computer Emergency Readiness Team предупреждает, что несвоевременная установка обновления может привести к тому, что злоу

  • 11 Мая 2012 » Сертифицированные межсетевые экраны (часть 2)
    В прошлом обзоре сертифицированных межсетевых экранов (напомню, что отбираем только присутствующие в реестре ФСТЭК изделия, сертифицированные серией или крупной партией по требованиям соответствующего руководящего документа ФСТЭК) мы остановились на продукте «ИВК Кольчуга». Итак, судя по описанию на сайте, ИВК Кольчуга представляет собой «программный комплекс, управляемый специально разработанной операционной системой на базе дистрибутива Linux». На практике в моём понимании это обозначает примерно следующее: взяли дистрибутив Linux, накатили нужные пакеты и сертифицировали. Что-то подобное сделал и АльтЭль, только там сразу ещё и аппаратная платформа поставляется. Согласно записям в реестре, ИВК Кольчуга была сертифицирована в 2005 году в двух вариантах: обычном и «ИВК Кольчуга-К». Не знаю как тогда, а сегодня эти варианты предназначены для работы с гостайной и для обработки конфиденциальной информации соответственно. Каждого варианта было сертифицировано по 500 экземпляров (читай – дисков), но уже в 2006 то ли закончились сертифицированные диски, то ли потребовалась сертификация по НДВ (т.е. на отсутствие недекларированных возможностей), но для ИВК Кольчуга был получен очередной сертификат ещё на 500 экземпляров и уже с НДВ. Следующая сертификация была завершена только в августе 2011 года, но теперь уже сертифицирована была серия. В целом, если посчитать число месяцев (с ноября 2005 по август 2011) и число сертифицированных экземпляров (500+500+500), то самый оптимистичный уровень продаж получается около 20 штук в месяц, что, конечно, совсем мало. Не удивительно, что до написания этого обзора про ИВК Кольчуга я вообще не припомню, чтобы слышал. Далее в реестре следует великое множество просроченных уже сертификатов на 1-2 (реже - больше) устройств Cisco PIX на МЭ3/МЭ4 но, естественно, без НДВ. Видимо, на этот период (2005-2006 гг) как раз приходится начало экспансии компании Cisco в госучреждения. Почему «естественно» без НДВ? Дело вот в чём. Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. Вот здесь-то и кроется важное конкурентное преимущество российских разработок: крупные мировые компании с большой неохотой идут на предоставление своего исходного кода нашим с вами коллегам из испытательных лабораторий, опасаясь за свою коммерческую тайну и ноу-хау. Отечественным же вендорам, часто вчистую сдувающим разрабатывающим свои продукты на основе открытых (open-source) операционных систем и прикладных пакетов, скрывать особо нечего. Их «ноу-хау» часто заключается в лоббистских возможностях и коррупционных схемах, а вовсе не в уникальных технологиях. Ну, да мы немного отвлеклись. Следующий сертифицированный межсетевой экран, подпадающий под заданные критерии – Cisco PIX 501. Сертификат №1247/1, выданный на их серию заявителю ЗАО “АМТ-Груп”, будет действовать ещё до июля 2013 года, да вот только все PIX’ы давно уже сняты с продаж и поддержки, так что введём ещё один критерий – «немёртвость» сертифицированного межсетевого экрана. Хотя, к сожалению, не всегда сразу можно понять реальную судьбу продукта, особенного отечественного. Некоторые вендоры до последнего не убирают описание с сайта в надежде, видимо, кому-нибудь да продать залежалый товар. Но в случае с Cisco всё проще: снят с продаж обычный PIX, так что и сертифицированного уже не купить, поэтому пропускаем Cisco PIX 506, 515, 525, 535 и добираемся до Cisco ASA. Ещё в далёком 2007 году всё та же компания АМТ-Груп сертифицировала как серии три межсетевых экрана Cisco: ASA-5510, 5520 и 5540 по классу МЭ4 и на соответствие ТУ. Строго говоря, МЭ4 – это потолок, если не раскрывать исходные коды, но, судя по реестру, иногда поставщикам Cisco удавалось находить какие-то компромиссы и получать сертификаты без НДВ, но «по 3 классу для МЭ при ограничениях» или «по 3 классу в соответствии с РД МЭ при ограничениях в ТУ». Вообще, Cisco ASA, похоже, рекордсмен по числу сертификатов. Многие сертифицировали «под проект» собственные «АСЫ» либо не желая платить «монополисту» АМТ, либо в случае потребности в других, менее ходовых, версиях, например, 5505 или 5580. Чуть позже (в 2009-2010) АМТ сертифицировала и другие ASA, став, похоже, окончательным монополистом. Только у Kraftway есть ещё серийный сертификат на 5510, а всего по состоянию на сегодня действуют 7 сертификатов на серии Cisco ASA. Все они представлены в таблице. Продолжение следует…

  • 10 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (18/2012)
    Короткая российская рабочая неделя, заканчивающаяся третьей подряд рабочей субботой, вносит хаос и сумятицу в ряды офисных сотрудников. Попробуем настроиться на рабочий лад чтением очередного обзора от специалистов Fortinet. Тон событиям в области информационной безопасности на этой 18й неделе года задавали множественные уязвимости. Так, компания Adobe исправила критическую ошибку в Flash, а эксперты по безопасности предупредили об обнаруженных «дырах» в PHP. Intel между тем, похоже наконец-то решила, что делать с ранее приобретённой McAfee. Представляем очередной обзор событий информационной безопасности. Adobe выпускает критический патч. Компания Adobe на прошлой неделе выпустила исправление для уязвимости в Flash, которая играла ключевую роль в атаках на Windows-версию Flash, используемую в web-браузере Interner Explorer. В целом, последние обновления безопасности Adobe для платформ Windows, Mac, Linux и Android направлены на исправление уязвимостей, позволявших хакерам удалённо осуществлять DOS-атаки (атаки вида «отказ в обслуживании»), приводившие к сбоям в системах пользователей и позволявшие получать доступ к удалённому управлению компьютерами пользователей для последующей кражи личных данных и информации. Согласно последним распространённым отчётам данная уязвимость активно используется при адресных атаках, когда пользователя обманом с применением методов социальной инженерии заставляют запускать заражённые файлы, присланные по электронной почте. Ошибка в PHP открывает путь для атак. На прошлой неделе U.S. Computer Emergency Response Team предупредила о критической уязвимости в PHP, позволяющей удалённо выполнить вредоносный код, что может рассматриваться как возможный инструмент для проведения атак на web-сайты, использующие уязвимую версию PHP. В частности, уязвимость возникает при обработке параметров строки запроса из PHP-файлов. Когда широко используемый для web-разработок язык сценариев PHP используется в связке с CGI, в исполняемый код передаются параметры строки запросов, которые из-за выявленной ошибки в PHP могут обрабатываться скриптом таким образом, что позволят злоумышленнику совершить удалённую атаку. В случае успешности атаки хакеры могут использовать брешь для получения финансовой или иной конфиденциальной информации, запуска сбоя системы, проведения атаки отказа в обслуживании или выполнения вредоносного кода с привилегиями web-сервера, что даст им возможность взять под свой контроль всю систему целиком. Команда, которая обнаружила ошибку, сообщила, что они ожидали выхода патча для PHP уже в течение нескольких месяцев и не сообщали об уязвимости широкой общественности. Тем не менее, по чьей-то случайности помеченная как «закрытая» ошибка в PHP была перенесена в категорию «публичных» и в конечном итоге была опубликована в Reddit. Google знала о сборе данных автомобилями Street View. Кто бы мог подумать? На прошлой неделе FCC опубликовала доклад, согласно которому Google действительно знала, что её автомобили, разъезжающие по улицам и фотографирующие местность для сервиса Street View, занимались съёмом данных с личных Wi-Fi-маршрутизаторов на протяжении добрых трёх лет до того, как это стало всем известно в апреле 2010 года. Первоначально, в 2007 году, выяснилось, что Google сканировала идентификаторы (SSID) и MAC-адреса, но впоследствии выяснилось, что собиралось больше информации: e-mail адреса и даже пароли. В ходе расследования FCC вскрылось, что один из инженеров Google обсуждал со старшим менеджером вопрос сбора личной информации пользователей из беспроводных сетей street-view-мобилями в период с мая 2007 по май 2010 года. Тем не менее, не доказано, что любопытство Google нарушало законодательство, а FCC пока не может предоставить достаточно доказательств того, что поисковый гигант незаконно использовал собранную информацию. Спустя почти два года Intel раскрывает свои планы относительно McAfee. Intel поделилась планами по встраиванию в свою продуктовую линейку решений компании McAfee, приобретённой ранее, как это впервые было объявлено летом 2010 года, за 7.6 миллиарда долларов. Основное направление интерграции согласно заявлению связано с облачными технологиями. В частности, Intel сообщила, что планирует интегрировать разработку McAfee для управления политиками в физических, виртуальных и облачных средах – ePolicy Orchestrator (ePO) – в собственные устройства обеспечения безопасности, оснащённые Intel Trusted Execution Technology (Intel TXT). Встроенные проверки и управление политиками Intel TXT также могут быть интегрированы с решением Management for Optimized Virtual Environments AntiVirus (MOVE AV), предлагающим набор стандартных защитных механизмов, включающих антивирус, а также средств повышения производительности и эффективности использования виртуальных рабочих станций и серверов. Кроме того, процессорный гигант заявил, что планирует использовать Cloud Security Platform (CSP) от McAfee в целях повышения безопасности при использовании мобильных устройств и центров обработки данных. Предлагаемый функционал защиты будет дополнять Deep Defender – совместная разработка Intel и McAfee, обеспечивающая на аппаратном уровне защиту с использованием встраиваемой в процессоры технологии виртуализации Intel. Deep Defender эффективен при обнаружении угроз, которые трудно выявить традиционными механизмами безопасности операционных систем. Android вновь стал мишенью для атак. Пользователи Android при посещении заражённого сайта могут стать жертвами атаки со стороны вредоносного программного обеспечения, самостоятельно скачивающегося в фоновом режиме. Новая атака, получившая название NotCompatible, реализуется с использованием встраивания IFRAME в заражённые сайты. Автоматически скачанное вредоносное программное обеспечение впоследствии устана

  • 04 Мая 2012 » Отличный сервис по рисованию анимированых gif
    Адрес: http://gifovina.ru/

  • 04 Мая 2012 » Сертифицированные межсетевые экраны (часть 1)
    Сегодня межсетевой экран – это один из немногих компонентов системы информационной безопасности, принуждать приобретать который практически никого не надо. Даже систему предотвращения вторжений уже нужно активно продавать, а, например, до внедрения системы мониторинга событий информационной безопасности некоторые компании и вовсе, что называется, «не доросли». Зато межсетевой экран покупают и крупные компании и небольшие организации, даже домашние пользователи понемногу привыкают к «сетевым экранам», «файерволам» и прочим дополнениям к антивирусам.

  • 02 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (17/2012)
    Пока у нас майские праздники и почти повсеместная расслабленность, злоумышленники не дремлют, как, впрочем, и доблестные борцы с ними =) Представляю очередной перевод обзора событий информационной безопасности от компании Fortinet. Атакам на этой неделе подвергалось буквально всё – от Mac OS X до серверов баз данных Oracle. Тон событиям задавали также проблемы с утечками учётных данных пользователей и процесс принятия спорного законопроекта об обмене информацией. Утечка исходного кода VMware. На прошлой неделе компания VMware подтвердила факт утечки, в результате которой в сети был опубликован исходный код ESX гипервизора, и сообщила, что публикации могут быть продолжены. Ответственность за случившееся взял на себя хакер под псевдонимом Hardcore Charlie, известный также своим заявлением о причастности к взлому сети военного подрядчика China National Import & Export Corp (Китайская Национальная Экспортно-Импортная Компания), совершённому ранее в этом месяце. «Общедоступность исходного кода не обязательно означает, что для клиентов VMware возникли дополнительные риски. VMware всегда активно делилась своими исходными кодами при взаимодействии с другими участниками отрасли с целью расширения области применимости средств виртуализации», - заявил в своём блоге Иэн Малхолланд (Iain Mulholland), директор VMware Security Response Center. Хакер Hardcore Charlie в своём твиттере поделился планами публикации исходных кодов EMC, которыми он по его словам обладает. Microsoft усиливает парольную защиту сервиса Hotmail. Редмондская компания доработала на прошлой неделе службу восстановления паролей почтового web-сервера Hotmail, исправив уязвимость из-за которой опасности подвергались учётные записи более чем 360 миллионов пользователей. Ошибка в программном обеспечении позволяла злоумышленникам, в частности, использовать расширение для браузера Firefox для удалённого сброса пароля от учётной записи Hotmail путём модификации отправляемых данных, а также автоматически распознавать символы защитного механизма CAPTCHA при помощи модуля MSL Live Hotmail. После нажатия кнопки «Reset» хакеры могли подменять запрос и вводить собственные данные в запрос о сбросе пароля. К счастью для 360 миллионов пользователей Hotmail, ошибка была обнаружена и исправлена достаточно быстро. В Microsoft узнали об уязвимости 20 апреля и выпустили обновление уже на следующий день. Широкая общественность об исправлении была информирована ещё в конце прошлой недели. Нижняя палата конгресса США приняла CISPA. Спорный законодательный акт Cyber Information Sharing and Protection Act (CISPA) с 248 голосами «за» и 168 «против» был принят на прошлой неделе Палатой представителей США (The United States House of Representatives), несмотря на негативную общественную реакцию со стороны защитников частной жизни и представителей научных кругов, которые утверждали, что этот акт нарушает неприкосновенность права тайны частной жизни. Законопроект, поддерживаемый такими компаниями как Facebook, AT&T, Intel и рядом других торгово-финансовых и технологических организаций, помимо прочего предоставляет федеральному правительству широкую свободу действий в обмене секретной информацией о киберпреступниках и киберугрозах с компаниями США. Одновременно CISPA устраняет многие ограничения на обмен информацией между самими коммерческими компаниями. Главный сторонник законопроекта и его разработчик Майк Роджерс (Mike Rogers) расценивает случившееся как важный шаг в правильном направлении обеспечения комплексной защиты сетей США от киберпреступников из России и Китая. Тем не менее, противники CISPA, в том числе Центр демократии и технологий (Center for Democracy and Technology), а также Американский союз гражданских свобод (ACLU), называют применительную базу законопроекта «слишком размытой» и утверждают, что он будет использоваться для нарушения свобод и прав на частную жизнь обычных пользователей Интернета. Критические проблемы у Oracle. Критическая уязвимость во всех версиях сервера базы данных Oracle, позволяющая удалённо выполнять произвольный код, остаётся неисправленной до конца даже после выпущенного компанией накануне критического обновления Critical Patch Update (CPU), сообщается в отчётах за прошлую неделю. Из-за ошибки в службе TNS Listener, отвечающей за перенаправление запросов на соединение от клиента к серверу, злоумышленники могут перехватить трафик сервера и выполнить в системе произвольный вредоносный код. Уязвимость, которой подвержены все версии Oracle 8i, 9i, 10g и 11g (11g R2), позволяет получать полный контроль над данными, передаваемыми между сервером и клиентами, подменять сессии пользователей и внедрять в них произвольный код и данные. В апрельском обновлении Oracle уже исправляла ошибки в TNS Listener, но, как выяснилось, исправление не применимо к текущим версиям базы данных Oracle, в результате чего многие пользователи остались беззащитными перед атаками, эксплуатирующими эту уязвимость. Новый вариант Flashback атакует Mac. Очередной вариант троянца Flashback был обнаружен на инфицированных машинах пользователей Mac OS X на прошлой неделе. На этот раз компания Intego, специализирующаяся на разработках по обеспечению безопасности Mac, сообщила о вредоносном программном обеспечении, устанавливающемся на компьютеры пользователей Mac без необходимости ввода пароля. По словам представителей Intego, новая версия Flashback, известная как Flashback.S, копирует себя полностью в одну из домашних папок пользователя, содержащих ~/Library/LaunchAgents/com.java.update.plist или ~/.jupdate, после чего удаляет всё содержимое папки ~/Library/Caches/Java/cache, чтобы стереть вредоносный java-апплет из заражённого Mac и избежать обнаружения себя антивирусными программами. Троянец Flashback,

  • 27 Апреля 2012 » Бесплатные антивирусы для Mac OS X
    Привыкшие жить в безвирусной среде, пользователи Mac OS X внезапно столкнулись с жестокой реальностью, кишащей вредоносным программным обеспечением. Всегда красивые и стильные компьютеры и ноутбуки компании Apple, став популярными не только в среде дизайнеров и получив заметную долю рынка, автоматически превратились в мишень для злоумышленников, а посему антивирусы для Mac OS X, видимо, вот-вот станут такой же обыденностью, коей они являются для платформы Windows. Ну, а если вы пока ещё не решились на покупку антивируса для своего iMac или MacBook, воспользуйтесь бесплатными продуктами для удаления и лечения вирусов в среде Mac OS X. Их краткий обзор предлагаю вашему вниманию. Начать, пожалуй, стоит с утилиты для удаления ставшего уже знаменитым трояна Flashback от самой компании Apple с замысловатым названием Java SE 6 version 1.6.0_31 for OS X Lion 2012-003. Собственно, специально что-то скачивать и устанавливать не требуется - достаточно в главном меню Mac OS X выбрать пункт “Обновление ПО…”. Строго говоря, обновление системы - это то, что и так желательно делать регулярно, ну а если есть желание дополнительно убедиться в чистоте своего “Мака”, то можно прибегнуть к помощи специальных антивирусных программ. Вообще, версия для Mac есть практически у каждого уважающего себя антивирусного вендора, но в данном обзоре рассмотрим только представленные в магазине App Store и распоcтраняемые бесплатно. Присутствие в официальном магазине приложений компании Apple, во-первых, дополнительная гарантия надёжности самого приложения (проверка всех публикуемых приложений - это очень важное преимущество App Store перед, например, Android Marketplace), а во-вторых, это очевидное удобство в установке, что для неискушённых в вопросах “допиливания” операционной системы до рабочего состояния путём установки десятка-другого приложений пользователей Mac является не менее важным. Бесплатными же версиями выбор ограничен из тех соображений, что проблема заражения вредоносным программным обеспечением Mac OS X всё же не так актуальна, как это преподносится маркетинговыми службами антивирусных компаний и на данном этапе платить за антивирус для Mac далеко не обязательно. Всего в App Store удалось найти четыре бесплатных антивируса для Mac и самый, по моему мнению, сомнительный кандидат на установку - VirusBarrier Express. Работает продукт, как и все участники обзора, только в режиме сканирования - проактивной защиты не предусмотрено. К плюсам можно было бы отнести наличие русского языка, но так как текста практически нет, а качество перевода справки оставляет желать лучшего, то преимущество не принципиальное. Разработчик (Intego) мало известен, хотя и позиционирует себя как эксперта со специализацией на защите именно Mac, а сигнатуры обновляются раз в месяц, так что продукт в целом производит впечатление рекламного буклета для своих двух платных “старших братьев” VirusBarrier Plus и VirusBarrier X86. Следующее приложение - ClamXav. Движок используется известный и неплохо себя зарекомендовавший - ClamAV, так что качеству поиска вирусов вполне можно доверять, но вот интерфейс какой-то уж совсем неказистый, хотя и простой. Третий участник обзора - Dr.Web Light. Продукт российской компании набрал в App Store на удивление много негативных отзывов: и про неприлично долгое время сканирования, и про чрезмерную загрузку процессора с критическим перегревом, и даже просто про зависания. Может, конечно, это всё происки конкурентов, но, вообще, очень похоже, что приложение писалось в спешке и по маркетинговому заказу: Dr.Web изо всех сил старается сделать себе имя на новой волне угроз для Mac (война за Windows-машины уже проиграна?) - и пресс-релизы публикуют и специальный портал по тематике защиты от трояна Flashback запустили, так что приложение в App Store, вполне возможно, пришлось выпускать полуготовым. Ну, ничего, антивирус-то сам по себе не плохой - допилят, докрутят и можно будет пользоваться постоянно, а пока для самоуспокоения и разовой проверки тоже нормальный вариант. Наконец, четвёртый из доступных в App Store бесплатных антивирусов для Mac - Bitdefender Virus Scanner. Продукты Bitdefender не так широко известны в России, но в мировых рейтинга неизменно занимают призовые места. Обновление сигнатур заявлено ежечасное, интерфейс вполне приятен, а фоновое полное сканирование на моём не самом производительном Mac без проблем позволило работать и даже просматривать фильм. К тому же Bitdefender - единственный, кто с настройками по умолчанию обнаружил на подключенном внешнем диске в ISO-файлах букет malware под Windows-платформу. Не понравилось в Bitdefender только разве что отсутствие возможности задавать расписание для автоматического сканирования, а так - впечатление более, чем положительное. Бесплатность всех рассмотренных антивирусов для Mac OS X позволяет скачать и произвести сканирование всеми четырьмя, а для периодического повторения этой операции оставить тот, который больше понравится. Ну, по состоянию на сегодня, например, рейтинг приложений, в описании которых встречается слово “virus”, выглядит так (попали, правда, несколько штук нетематических): Изображение: http://thenewsit.ru/2012/04/mac-bolshe-ne-boitsya-virusov-flashback-10922.html

  • 24 Апреля 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (16/2012)
    Продолжаем публикацию переводов еженедельного обзора событий в области информационной безопасности от компании Fortinet. Среди прочих событий (Анонимусы как обычно устраивали свои проделки) на этой неделе (неделя 16) важными событиями информационной безопасности стали новая атака на платформу Android (ей подверглось популярное приложение для обмена фотографиями) и очередное вредоносное программное обеспечение, сбивающее с толку неискушённых в вопросах безопасности пользователей Mac. Сюрприз! Очередная угроза для Mac. На прошедшей неделе был обнаружен ещё один троянец, сеющий хаос в рядах привыкших чувствовать себя в безопасности пользователей Mac OS X. Данный мак-троянец, получивший название Backdoor OSX SabPub.a, использует уязвимость в Java (Exploitl.Java CVE-2012-0507.bf), знаменитую помимо прочего своей применимостью для эффективного обхода антивирусных сканеров. SabPub, появившийся чуть более месяца назад, создаёт для платформы Mac OS X бэкдор-туннель, который может использоваться для целенаправленных атак. После своей активации троянец соединяется с удалённым web-сайтом, являющимся командно-контрольным центром, в ожидании дальнейших инструкций от своего создателя. Как только устанавливается удалённое подключение, троянец воссоздаёт на скомпрометированной машине скриншот текущего сеанса пользователя, позволяя параллельно незаметно выполнять поступающие команды. Точные механизмы заражения, используемые троянцем Backdoor SabPub, остаются до конца не изученными, а по одному из предположений его распространение была начато с применением социальной инженерии – с рассылки фишинговых писем, содержащих ссылки на заражённые web-сайты, размещённые на территории США и Германии. Oracle выпускает «впечатляющий» патч. На прошлой неделе Oracle выпустила Critical Patch Update (CPU) – критическое обновление, содержащее 88(!) исправлений множества уязвимостей, некоторые из которых позволяют злоумышленникам получить удаленный доступ в обход механизмов аутентификации. В патч включены исправления шести брешей в безопасности, четыре из которых позволяют удалённо атаковать Oracle Enterprise Manager, а также множества других брешей в безопасности таких продуктов как Oracle Database Server, Oracle Fusion Middleware, продуктов Oracle Sun, MySQL, Oracle Enterprise Manager Grid Control, Oracle e-Business Suite, Oracle Supply Chain, Oracle PeopleSoft, Oracle Industry Applications, Oracle Financial Services, а также продуктов Oracle Primavera. «Из-за угрозы успешной атаки, Oracle настоятельно рекомендует пользователям установить данное обновление как можно скорее,» - говорится в сообщении Oracle. Ранее в этом году, 31 января, Oracle в своём ежеквартальном обновлении уже выпускала обновления, устраняющие уязвимости во множестве продуктов, возникавшие из-за коллизий при использовании функции хеширования. Ошибка в программном обеспечении Oracle WebLogic Server, Oracle Application Server и Oracle IPLANET Web Server позволяла хакерами получать удалённый доступ без прохождения аутентификации с использованием, например, имени пользователя и пароля. Анонимусы атакуют Гран-при Формулы-1. Сторонники движения Anonymous ("Анонимусы") отвлеклись на этой неделе от своих обычных шалостей и организовали распределённую атаку типа отказ в обслуживании (DDoS) на web-сайт Формулы-1, проходящей в эти дни в Бахрейне, в знак поддержки протестного антиправительственного движения в этой стране. В своём заявлении глобальная хакерская группировка сообщила, что нападение было произведено с целью привлечения внимания к замалчиваемым нарушениям прав человека, совершаемых по указаниям короля Хамада Бахрейна бен Аль Халифа, и выразила мнение, что решение организаторов знаменитой автогонки о проведении этапа Формулы-1 в Бахрейне в конечном итоге означает поддержку правительства страны, где граждан безнаказанно угнетают, пытают и убивают. Анонимусы отметили, что представители этого жестокого режима, угрожающие применением огнестрельного оружия в отношении граждан, если протесты продолжатся, получат значительную прибыль от проведения гонки. За истекшие годы Анонимусы с их постоянной вовлечённостью в дискуссии о важнейших мировых политических вопросах сделали, что называется, себе имя и даже попали в список 100 самых влиятельных людей в мире по версии журнала Тайм. Правда, несмотря на то, что коллектив хакеров занял первое место среди web-аудитории журнала с 395 793 голосами, в итоговом списке их поставили только на 36 место. «Фотонапасть» для Android. Создатели вредоносных программ для мобильных платформ пририсовали себе ещё одну звёздочку на фюзеляже, реализовав успешную атаку на приложение для обмена фотографиями Instagram. Пользователей Instagram обманом принуждали установить на свой телефон с Android фальшивую копию популярного приложения, которая в фоновом режиме начинала рассылать SMS-сообщения на платные короткие номера. Вредоносная программа, родина авторов которой предположительно является Россия, показывает пользователям сетевого магазина приложений Android Marketplace фальшивую главную страницу, выдавая себя за популярное приложение Instagram, и ничего не подозревающая жертва скачивает поддельное приложение, позволяющее злоумышленникам рассылать с его телефона SMS-сообщения. За последний год число вредоносных программ для Android стремительно увеличивалось по мере роста интереса киберпреступников к этой открытой и слабо контролируемой самой Google мобильной платформе. Приложение для обмена фотографиями Instagram стало одной из главных мишеней для хакеров после того как в начале месяца небольшая компания-раз